Sophos

Soporte en línea

Mantenimiento de productos

Soporte técnico

Servicios de soporte

Sophos Anti-Virus: detección y control de infecciones de Conficker

Problema
Buscar y controlar infecciones de Conficker en la red

Producto de Sophos y versión
Sophos Anti-Virus para Windows+

Sistema operativo
Microsoft Windows

Información técnica
Para más información sobre la limpieza de Conficker en redes, consulte el siguiente artículo de la base de conocimiento Eliminación de W32/Confick y Mal/Conficker.

Acerca del virus

Conficker se propaga:

  1. Mediante la vulnerabilidad MS08-67
  2. Mediante el uso compartido de archivos de Windows
  3. A través de medios extraíbles, como unidades USB

Consulte el artículo Eliminación de W32/Confick y Mal/Conficker para más información sobre como detener la propagación.


Importante:

Conficker sólo se propaga desde equipos no protegidos. La versión más reciente de Sophos Anti-Virus y la configuración correcta del escaneado (consulte el artículo 51169) impide que los equipos ejecuten los archivos de Conficker.

Pueden aparecer numerosas alertas sobre Conficker en Enterprise Console o Control Centre, pero es más importante descubrir qué equipos no protegidos están ejecutando físicamente los archivos y provocando la propagación de Conficker.

Qué hacer

Existen varias herramientas que puede utilizar para encontrar los equipos infectados con Conficker en la red

  1. Registros de eventos de seguridad
  2. Herramientas para el control de la red
  3. Cortafuegos con registros (por ejemplo, Sophos Client Firewall)

Situación A: Conficker se propaga utilizando una vulnerabilidad

Síntomas habituales:

  • Aparecen archivos de Conficker con extensión .dll en la carpeta System32
  • El escaneado HIPS de Sophos genera alertas de desbordamiento del búfer acerca de svchost.exe

En una red correctamente administrada, esto no debería ocurrir. Si Conficker se está propagando aprovechando la vulnerabilidad, es necesario que aplique el parche MS08-067 a los ordenadores. El parche es válido para todos los sistemas operativos basados en Windows NT, independientemente del service pack.

Para descubrir el origen de la infección, puede instalar Wireshark en el equipo correspondiente.

Situación B: Conficker se propaga utilizando el uso compartido de archivos e impresoras

Síntomas habituales:

  • Aparecen archivos de Conficker con extensiones aleatorias en la carpeta System32
  • Los equipos parcheados se vuelven a infectar
  • Ciertas cuentas se bloquean

Este es el método más habitual para la propagación de Conficker, ya que resulta efectivo incluso en equipos que cuentan con el parche MS08-067. La mejor forma de detectar este tipo de infecciones es mediante los registros de eventos de seguridad del controlador del dominio.

  1. Vaya a los controladores del dominio y abra el visor de eventos.
  2. Vaya a los registros de los eventos de seguridad.
  3. Encontrará numerosos intentos fallidos de inicio de sesión.
  4. Abra estos eventos y busque la línea en la que se menciona el nombre de la estación (tenga en cuenta que puede no aparecer en todos los eventos).
  5. Aparecerá la dirección IP del equipo que está ejecutando Conficker y propagando la infección a otros equipos.
  6. Asegúrese de que el equipo cuenta con el parche.
  7. Instale Sophos Anti-Virus, escanee el equipo y límpielo.

Los registros de los eventos de seguridad ofrecen listas de varios equipos y son la herramienta más útil para localizar equipos infectados con Conficker.

Si cuenta con más de un controlador de dominio, busque los fallos en todos los registros de eventos de seguridad.

El segundo método para la localización de equipos infectados es mediante la utilización de herramientas para el control de la red, como Wireshark.

  1. Descargue e instale Wireshark en un equipo en el que el equipo infectado con Conficker suelte archivos constantemente.
  2. Inicie sesión en Wireshark.
  3. En Sophos Anti-Virus, anote el archivo de Conficker detectado en la carpeta System32.
  4. Limpie los archivos de Conficker.
  5. Cuando el equipo vuelva a detectar Conficker, detenga el registro de Wireshark.
  6. En el registro de Wireshark, pulse Control-F para abrir la ventana de búsqueda.
  7. Realice la búsqueda en las cadenas.
  8. Escriba el nombre del archivo que Conficker ha soltado en la carpeta System32 del equipo.
  9. Obtendrá la dirección IP del equipo en el que se origina la infección.

Si cuenta con una licencia, también puede utilizar Sophos Client Firewall para localizar los equipos infectados.

  1. En Sophos Anti-Virus, limpie los archivos de Conficker.
  2. Abra el registro del cortafuegos haciendo clic con el botón derecho en el icono de Sophos Client Firewall.
  3. Puesto que el equipo se ha vuelto a infectar, aparecerá en la sección de conexiones permitidas.
  4. El tráfico de NetBIOS y la dirección IP del equipo que origina la infección aparecerá en la columna de direcciones remotas.

Importante:

Conficker no podrá propagarse si sigue a raja tabla el artículo 51169

Situación C: Conficker se propaga utilizando medios extraíbles USB

Síntomas habituales:

  • Detecciones de W32/ConfInf-A
  • Los equipos parcheados se vuelven a infectar
  • Equipos con el intercambio de archivos e impresoras bloqueado se vuelven a infectar

Sophos Anti-Virus detecta W32/ConfInf en unidades USB infectadas. El usuario deberá limpiar o formatear la unidad USB.

 

Si necesita más ayuda, póngase en contacto con soporte técnico.